阅读OWASP A3-Broken AuthenticationandSessionManagement。另请阅读有关OWASPA5-CSRF的信息,有时也称为“会话骑行”。
您应该在php标头文件中使用以下代码:
ini_set('session.cookie_secure',1);ini_set('session.cookie_httponly',1);ini_set('session.use_only_cookies',1);session_start();此代码可防止会话固定。它还有助于防止xss的访问
document.cookie,这是可能发生会话劫持的一种方式。仅执行HTTPS
cookie是解决OWASPA9传输层保护不足的一种好方法。这种使用HTTPS的方式有时称为“安全cookie”,这是一个可怕的名称。另外,STS是一项非常酷的安全功能,但并非所有浏览器都支持它。
